Mer om Weblogin

Weblogin er UiOs interne l?sning for autentisering p? nett. Tjenesten er en Identity Provider (IdP) som bruker SAML, og er satt opp for ? tilfredsstille spesielle behov enkelte interne tjenester har som Feide ikke kan tilby.

Weblogin kan vise forskjellige valg ut fra situasjonen du er i, for eksempel hvilken tjeneste som sendte deg dit, hvor du er og hva slags maskin du bruker. Dette gj?res for ? tilby riktige valg for forskjellige tjenster.

Hvordan virker det?

weblogin.uio.no er UiOs innloggingsportal for tjenester p? nett. Tjenesten ligner p? Feide, Microsofts http://logon.live.com og innloggingstjenesten til Google.

Autentisering med Weblogin
Bildet illustrerer hvordan autentisering skjer med Weblogin. De r?de pilene viser hvor sensitive data blir sendt.
  1. Bruker pr?ver ? n? en lese- eller skrivebeskyttet side hos tjeneste.
  2. Tjenesten sender en melding til brukerens nettleser om at den skal g? til Weblogin for autentisering.
  3. Nettleseren ?pner tjenestens innloggingsside p? Weblogin, hvor brukeren taster inn brukernavn og passord
  4. Weblogin sender melding til brukerens nettleser om ? g? tilbake til tjenesten
  5. Nettleseren ?pner siden som man fors?kte ? f? tilgang til i steg 1.

Etter innlogging vil tjenesten motta en kryptografisk signert melding fra Weblogin. Denne meldingen kan ikke forfalskes, og inneholder informasjon om brukeren som er autentisert hos Weblogin. Weblogin benytter seg av SAML2 (http://en.wikipedia.org/wiki/SAML_2.0) for kommunikasjon med tjenesten.

Tradisjonell autentisering

Tradisjonelt s? blir nett-tjenester satt opp til ? opptre p? brukerens vegne ovenfor et autentiseringssystem, eller inneholder databaser med autentiseringsdata. Brukeren sender sine autentiseringsdata til tjenesten, og tjenesten sender dette videre til sitt autentiseringssystem. Autentiseringssystemet vil avgj?re om autentiseringsdata er korrekte, og sender en melding tilbake om dette.

Dette er ikke en ?nskelig l?sning verken for brukere eller USIT, som drifter infrastrukturen til UiO. Autentiseringsdata, som brukernavn og passord, er hemmelig og kan betnyttes for ? f? tilgang til private tjenester og private opplysninger. Men en tradisjonell autentiseringsmodell blir autentiseringsdata eksponert for tjenester, ogs? tjenester utenfor UiOs kontroll.

Tradisjonell autentisering for tjenester p? nett.
Bildet illustrerer hvordan eldre autentiseringsl?sninger h?ndterer autentisering. De r?de pilene viser hvor sensitive data blir sendt.

Hvorfor utvikle Weblogin?

Ved UiO s? stoler man p? at leverand?rer og interne tjenester ikke innhenter brukernavn og passord med onde hensikter. Likevel betyr denne tradisjonelle l?sningen at potensialet er st?rre for at noe galt skjer. N?r mange tjenester benytter brukernavn og passord fra UiO, s? er ikke sikkerheten rundt disse bedre enn hos den d?rligst sikrede tjenesten. Dersom et sikkerhetshull i én tjeneste blir utnyttet av en inntrenger, s? kan inntrengeren ogs? f? tilgang til alle andre system som benytter samme autentiseringsdata. Innbrudd i én tjeneste kan potensielt f?re til at ogs? beskyttet informasjon fra andre system blir eksponert.

Den eneste l?sningen i slike tilfeller, vil v?re ? p?legge brukere ved UiO ? skifte passord. I verste fall m? hele brukermassen ved UiO gj?re dette. Dette er irriterende og tidkrevende for brukere ved UiO, og sv?rt ressurskrevende for USIT og IT-ansvarlige ved UiO.

Ved UiO har vi n? to tjenester som adresserer denne svakheten i infrastrukturen: Feide og Weblogin. Feide er en nasjonal tjeneste som har som m?l at alle personer i utdanningssektoren skal ha én elektronisk identitet. UNINETT er ansvarlig for tjenesten. Ved UiO har vi flere tjenester som har spesielle behov som Feide ikke kan dekke og derfor har vi en lignende l?sning for interne tjenester - Weblogin.

Fordeler med Weblogin

  • Sikkerhet - klartekstpassord eksponeres ikke for tjenester
  • Gjenkjennelse - brukere kjenner igjen og stoler p? Weblogin
  • Sentralt kontrollert - tjenester som ?nsker ? benytte Weblogin m? godkjennes av USIT
  • Skredders?m - tjenester kan selv velge hvilke brukergrupper som skal ha tilgang til tjenesten, og hvilken informasjon tjenesten skal f? om brukeren.
    • Det er et sikkerhetsproblem at ved ved bruk av eldre autentiseringssystemer s? opptrer tjenester som brukeren. Alle informasjon om brukeren blir tilgjengelig for tjenesten.
    • Tjenesten kan settes opp til ? tillate alle typer brukerkonti p? UiO, inkludert ikke-tilknyttede brukere. Dette settes opp i Weblogin internt, s? tjenesten har bare en kobling mot Weblogin.
  • Single Sign-On for flere webtjenester p? UiO - er man logget inn i en tjeneste s? vil man automatisk logge inn i andre tjenester man g?r til.
  • Single Log-Out - ved ? trykke p? "logg ut" i en tjeneste s? blir man logget ut fra alle tjenester som er satt opp mot Weblogin.
Emneord: Weblogin, teknisk
Publisert 15. aug. 2014 10:54 - Sist endret 23. mai 2019 16:13
Del p? e-post